白猫的日常--web安全--认证漏洞(三)

HTTP（超文本传输协议）本身是一个无状态的协议，它不包含内建的认证机制。这意味着HTTP协议不关心请求的发送者是谁，它只是简单地将请求从客户端传送到服务器，然后服务器返回响应

在深网中，很多数据都不能让其他人接触和访问，比如头条中你的隐私信息，你的播放量，黑名单等等，主流技术中是使用cookie来进行认证

下面以DVWA靶场为例(dvwa靶场是最简单的靶场没有之一，建议完全的初学者拿它练手)

dvwa下载可以在csdn下载，具体不再讲解

使用admin/password登录成功后，点击任意漏洞页面，使用burpsuite抓取页面的消息

样例是保存guestbook的消息

我们可以看下这个消息的重要信息

这是一个Post消息

使用cookie，内容是phpsessid

body中携带几个信息包括txtname txtmessage ，btnsign和usertoken

消息发送到dvwa之后，处理成功会返回200的返回码

怎么判定这个消息是否需要认证，下个文章会继续分析